精华内容
下载资源
问答
  • 遇到这个问题: 1、windows + R 打开运行 2、输入inetcpl.cpl 回车 打开internet属性设置。 把SSL3.0到TLS1.3这些都勾选上。

    遇到这个问题:

    在这里插入图片描述

    1、windows + R 打开运行

    2、输入inetcpl.cpl 回车 打开internet属性设置。

    在这里插入图片描述

    SSL3.0TLS1.3这些都勾选上。

    展开全文
  • 目录 问题背景 解决方案 问题背景 集成开发环境 ... 用于创建包含 RESTful HTTP 服务示例控制器ASP.NET Core 应用程序项目模板。此模板还可以用于ASP.NET Core MVC 视图和控制器 调试 .

    目录

     

    问题背景

    解决方案


    问题背景

    集成开发环境 IDE Microsoft Visual Studio Community 2019 版本 16.1.3
    项目 Project ASP.NET Core Web 应用程序
    模板 Template

    API

    用于创建包含 RESTful HTTP 服务示例控制器的ASP.NET Core 应用程序的项目模板。此模板还可以用于ASP.NET Core MVC 视图和控制器

    调试 Debug 360浏览器 、Mircosoft Edge
    调试地址 URL https://localhost:44383/
    结果 360浏览器 hi,真不巧,网页走丢了。
    不如搜索一下你想要的,或者刷新网页试试吧。
    结果 Mircosoft Edge 无法安全地连接到此页面
    这可能是因为该站点使用过期的或不安全的 TLS 安全设置。如果这种情况持续发生,请与网站的所有者联系。
    尝试此操作:

    解决方案

    右键项目-属性-调试-Web服务器设置,去掉“启用SSL(S)”的勾选,或者直接修改 “launchSettings.json”文件,将sslPort改为0

     

     

    展开全文
  • 漏洞介绍Jenkins是一个开源软件项目,是基于...2019年12月17日Jenkins发布安全通告,在新版本中完成多个漏洞修复,以下是受影响补丁情况:Alauda DevOps Pipeline插件Alauda Kubernetes Suport插件Build Failur...

    0ee2270411f2fd7f01404d53c3415e6a.png

    漏洞介绍

    Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。2019年12月17日Jenkins发布安全通告,在新版本中完成多个漏洞的修复,以下是受影响的补丁情况:Alauda DevOps Pipeline插件Alauda Kubernetes Suport插件Build Failure Analyzer插buildgraph-view插件Gerrit触发插件Mantis插件Maven扩展插件任务控制插件Pipeline Aggregator View插件RapidDeploy插件Redgate SQL Change Automation插件Rundeck插件SCTMExecutor插件Spira Importer插件Team Concert插件WebSphere Deployer插件微博插件

    漏洞描述

    Maven扩展插件中的XXE漏洞:

    SECURITY-1681 / CVE-2019-16549(XXE),CVE-2019-16550(CSRF) 

    Maven扩展插件从Nexus存储库管理器API检索XML。Maven扩展插件0.16.1和更早版本未配置XML解析器以防止XML外部实体(XXE)攻击。虽然不允许具有“Overall/Administer”权限的Jenkins用户配置自定义Nexus URL,但仍然可以通过中间人攻击来利用此URL,特别是当它不是HTTPS URL时。此外,连接测试表单验证方法不需要POST请求,从而导致跨站点请求伪造漏洞。结合使用这服务器端请求伪造或拒绝服务攻击,攻击者可以使用精心制作的XML文档让Jenkins解析使用外部实体从Jenkins主服务器中提取私密信息。Maven扩展插件0.16.2配置其XML解析器以防止XML外部实体(XXE)攻击。现在还要求通过POST完成对连接测试表单验证方法的请求,以防止跨站点请求伪造攻击。


    Gerrit触发插件中的CSRF漏洞和缺少权限检查:

    SECURITY-1527 / CVE-2019-16551(CSRF),CVE-2019-16552(缺少权限检查) 

    Gerrit触发插件2.30.1和更早版本在执行表单验证的方法中不执行权限检查。这使具有“Overall/Read”访问权限的用户可以执行连接测试,使用攻击者指定的凭据连接到HTTP URL或SSH服务器,或者确定Jenkins主文件系统上是否存在具有攻击者指定路径的文件。此外,这些表单验证方法不需要POST请求,从而会导致CSRF漏洞。Gerrit触发插件2.30.2需要POST请求和受影响的表单验证方法的“Overall/Administer”权限。

    Build Failure Analyzer插件中的CSRF漏洞和缺少权限检查允许ReDoS

    SECURITY-1651 / CVE-2019-16553(CSRF),CVE-2019-16554(缺少权限检查),CVE-2019-16555(资源消耗)

    Build Failure Analyzer插件1.24.1和更早版本不会在执行表单验证的方法中执行权限检查。这允许具有“Overall/Read”访问权限的用户执行大计算量的正则表达式,该正则表达式将挂起请求来处理正则线程。此外,此表单验证方法不需要POST请求,从而导致CSRF漏洞。Build Failure Analyzer插件1.24.2需要POST请求,并为受影响的表单验证方法实现权限检查,以便只有授权用户才能提交正则表达式。另外,正则表达式以可中断的方式实现,因此可以中断需要大量计算资源的正则表达式处理请求。

    Pipeline Aggregator View插件中存储的XSS漏洞 

    SECURITY-1593 / CVE-2019-16564 

    Pipeline Aggregator View 插件1.8及更早版本不会转义其提供的视图上显示的信息。这将导致存储式跨站点脚本漏洞,可由能够配置作业,定义管道阶段或以其他方式影响使用Pipeline Aggregator View插件显示的信息的用户。Pipeline Aggregator View Plugin 1.9在其提供的视图上转义了用户控制的信息。

    Rundeck插件以纯文本格式存储凭据

    SECURITY-1636 / CVE-2019-16556

    Rundeck插件3.6.5和更早版本将凭据作为其全局配置文件org.jenkinsci.plugins.rundeck.RundeckNotifier.xml和项目配置文件config.xml文件的一部分存储在Jenkins主服务器上。具有扩展读取权限的用户(对于config.xml文件)或者系统管理员可以查看这些URL。一旦再次保存全局或项目配置文件,Rundeck插件3.6.6会将凭据存储在加密的配置中。

    Redgate SQL Change Automation插件以纯文本格式存储凭据

    SECURITY-1598 / CVE-2019-16557

    Redgate SQL Change Automation插件2.0.3和更早版本将未加密的凭据存储config.xml在Jenkins主服务器上的配置文件中,作为其构建步骤配置的一部分。具有读取权限或系统管理员的用户可以查看这些凭据。一旦再次保存配置,Redgate SQL Change Automation插件2.0.4就会存储其加密的凭据。

    Spira Importer插件在全球范围内无条件禁用SSL / TLS证书验证

    SECURITY-1580 / CVE-2019-16558 

    Spira Importer插件3.2.3和更早版本无条件禁用整个Jenkins主JVM的SSL / TLS证书验证。Spira Importer插件3.2.4不再禁用SSL / TLS证书验证。

    WebSphere Deployer插件中的CSRF漏洞和缺少权限检查

    SECURITY-1371 / CVE-2019-16559(权限检查),CVE-2019-16560(CSRF) 

    WebSphere Deployer插件1.6.1和更早版本不会在表单验证的方法中执行权限检查。这使具有“Overall/Read”访问权限的用户可以执行连接测试,确定Jenkins主文件系统上是否存在具有攻击者指定路径的文件,并根据响应获取有关Jenkins和插件配置的有限信息。后者包括设置插件配置选项的能力。此外,这些表单验证方法不需要POST请求,从而导致CSRF漏洞。截至本公告发布之时,尚无修复程序。

    WebSphere Deployer插件全局禁用SSL / TLS证书验证 

    SECURITY-1581 / CVE-2019-16561 

    WebSphere Deployer插件1.6.1和更早版本允许具有“Overall/Read”访问权限的用户为整个Jenkins主JVM禁用SSL / TLS证书和主机名验证,或者从Jenkins主文件系统上存储的文件中指定新的Java密钥库。截至本公告发布之时,尚无修复程序。

    buildgraph-view插件存储式XSS漏洞 

    SECURITY-1591 / CVE-2019-16562 buildgraph-view插件1.8及更早版本无法逃避其视图中显示的构建说明。这导致存储的跨站点脚本漏洞,能够被能够更改构建描述的用户利用。截至本公告发布之时,尚无修复程序。

    任务控制插件中存储的XSS漏洞 

    SECURITY-1592 / CVE-2019-16563 Mission Control插件0.9.16及更早版本不会在其提供的视图中转义作业显示名称和构建名称。这导致存储的跨站点脚本漏洞,能够由能够更改这些属性的用户利用。截至本公告发布之时,尚无修复程序。


    Team Concert插件中的CSRF漏洞和缺少权限检查允许捕获凭据

    SECURITY-1605(1)/ CVE-2019-16565(CSRF),CVE-2019-16566(缺少权限检查) 

    Team Concert插件1.3.0及更早版本不对实现表单验证的方法执行权限检查。这使具有对Jenkins的“Overall/Read”访问权限的用户可以使用通过另一种方法获取的攻击者指定的凭据ID连接到攻击者指定的URL,从而捕获存储在Jenkins中的凭据。此外,表单验证方法不需要POST请求,从而导致CSRF漏洞。截至本公告发布之时,尚无修复程序。

    具有“Overall/Read”访问权限的用户可以在Team Concert插件中枚举凭据ID。

    SECURITY-1605(2)/ CVE-2019-16567

    Team Concert插件1.3.0及更早版本提供了适用的凭据ID列表,以允许配置插件的用户选择要使用的凭据ID。此功能不能正确检查权限,从而使任何具有“Overall/Read”权限的用户都可以获取有效凭据ID的列表。这些可以用作攻击的一部分,以利用另一个漏洞来捕获凭据。截至本公告发布之时,尚无修复程序。


    SCTMExecutor插件以纯文本格式存储凭据 

    SECURITY-1521 / CVE-2019-16568 

    SCTMExecutor插件2.2和更早版本将Silk Central凭据存储在全局Jenkins配置和项目config.xml文件中。这些凭据以加密方式存储在磁盘上时,会以纯文本格式作为配置形式的一部分进行传输。这可能导致通过浏览器扩展,跨站点脚本漏洞和类似情况暴露这些凭据。截至本公告发布之时,尚无修复程序。

    Mantis插件中的CSRF漏洞 

    安全1603 / CVE-2019-16569

    Mantis插件0.26和更早版本不需要POST方法进行连接测试,从而导致CSRF漏洞。这使攻击者可以使用攻击者指定的凭据将Jenkins连接到攻击者指定的Mantis相关的Web服务器路径。截至本公告发布之时,尚无修复程序。

    RapidDeploy插件中的CSRF漏洞和缺少权限检查允许SSRF 

    SECURITY-1604 / CVE-2019-16570(CSRF),CVE-2019-16571(缺少权限检查)

    RapidDeploy插件4.1和更早版本不对表单验证方法执行权限检查。这使具有对Jenkins的“Overall/Read”访问权限的用户可以连接到攻击者指定的RapidDeploy相关的Web服务器路径。此外,这些表单验证方法不需要POST请求,从而导致CSRF漏洞。截至本公告发布之时,尚无修复程序。


    微博插件以纯文本格式存储凭据 

    SECURITY-1597 / CVE-2019-16572 

    微博插件1.0.1和更早版本将未加密的凭据存储org.jenkinsci.plugins.weibo.WeiboNotifier.xml在Jenkins主服务器的全局配置文件中。有权访问主文件系统的用户可以查看此凭据。截至本公告发布之时,尚无修复程序。

    Alauda DevOps Pipeline插件中的CSRF漏洞和缺少权限检查允许凭据捕获

    SECURITY-1600 / CVE-2019-16573(CSRF),CVE-2019-16574(缺少权限检查) 

    Alauda DevOps Pipeline插件2.3.2和更早版本不对实现表单验证的方法执行权限检查。这允许具有对Jenkins的Overall/Read访问权限的用户使用通过另一种方法获得的攻击者指定的凭据ID连接到攻击者指定的与Kubernetes相关的Web服务器路径上,从而捕获由Alauda DevOps Pipeline Plugin管理的令牌凭据。此外,表单验证方法不需要POST请求,从而导致CSRF漏洞。截至本公告发布之时,尚无修复程序。

    Alauda Kubernetes Suport插件中的CSRF漏洞

    SECURITY-1602 / CVE-2019-16575(CSRF),CVE-2019-16576(缺少权限检查)

    Alauda Kubernetes Suport Plugin 2.3.0和更早版本不需要POST请求进行连接测试,从而导致CSRF漏洞。这允许攻击者使用通过另一种方法获得的攻击者指定的凭据ID,将Jenkins连接到攻击者指定的与Kubernetes相关的Web服务器路径,从而捕获存储在Jenkins中的“秘密文本”凭据。此外,如果未指定凭据ID,则连接将使用来自的默认Kubernetes令牌/var/run/secrets/kubernetes.io/serviceaccount/token。截至本公告发布之时,尚无修复程序。

    影响版本

    • Alauda DevOps Pipeline 插件 2.3.2版本及以下

    • Alauda Kubernetes Suport 插件 2.3.0版本及以下

    • Build Failure Analyzer 插件 1.24.1版本及以下

    • buildgraph-view 插件 1.8版本及以下

    • Gerrit Trigger 插件 2.30.1版本及以下

    • Mantis 插件 0.26版本及以下

    • Maven Release Plug-in 插件 0.16.1版本及以下

    • Mission Control 插件 0.9.16版本及以下

    • Pipeline Aggregator View 插件 1.8版本及以下

    • RapidDeploy 插件 4.1版本及以下

    • Redgate SQL Change Automation 插件 2.0.3版本及以下

    • Rundeck 插件 3.6.5版本及以下

    • SCTMExecutor 插件 2.2版本及以下

    • Spira Importer 插件 3.2.3版本及以下

    • Team Concert 插件 1.3.0版本及以下

    • WebSphere Deployer 插件 1.6.1版本及以下

    • Weibo 插件 1.0.1版本及以下

    已修复版本

    受影响插件请尽快更新至以下版本,另有部分插件尚未修复,请及时关注Jenkis官网修复情况。

    • Build Failure Analyzer 插件 1.24.2版本

    • Gerrit Trigger  2.30.2版本

    • Maven Release Plug-in  0.16.2版本

    • Pipeline Aggregator View  1.9版本

    • Redgate SQL Change Automation  2.0.4版本

    • Rundeck  3.6.6版本

    • Spira Importer  3.2.4版本

    情报来源

    https://jenkins.io/security/advisory/2019-12-17/

    460f05be0c8db678d01ceea39a916adf.gif460f05be0c8db678d01ceea39a916adf.gife04184364e24b2a539ca82087c1cc1e4.png8346cb06dfa1eba75bb260e003125331.png460f05be0c8db678d01ceea39a916adf.gif460f05be0c8db678d01ceea39a916adf.gif
    展开全文
  • 最近更新了一下网银驱动,结果就发现我的https网站使用IE,Edge上去了,而使用chrome可以浏览:第一个想到的就是网银驱动的问题,为了究其根本,我继续研究了一下,为什么我的网站使用了过期的TLS安全设置,而百度...

    最近更新了一下网银驱动,结果就发现我的https网站使用IE,Edge上不去了,而使用chrome可以浏览:

    dac482adac387c61fc2dd8f731e83376.png

    第一个想到的就是网银驱动的问题,为了究其根本,我继续研究了一下,为什么我的网站使用了过期的TLS安全设置,而百度网站https://www.baidu.com可以浏览。。。

    接下来通过工具对https://www.baidu.com和https://s.yoqi.me/两个网站对比,发现我的网站只支持TLS 1.2而https://www.baidu.com网站TLS1.0,TLS 1.1,TLS 1.2都支持。怎么能这样。。

    4330f43551180139bf51c30673f8793d.png

    接下来我查看了一下IE浏览器设置,果真更新网银驱动后,把IE浏览器TLS协议更改了:

    714195d40bba1ff83a5f8b2f61260758.png

    其实也可以通过这个页面,对浏览器的SSL/TLS兼容性检测:https://myssl.com/myclient.html。打开这个页面就可以很清楚发现chrome所有协议都支持:

    913c35918874d9d86510fd82c89a022e.png

    既然找到了问题,那么就好开始解决啦。解决方案:

    (1)IE浏览器还原高级设置

    网银对IE很依赖,而且动不动就改IE配置,一年也用不上几次网银支付,所以还原设置即可。。。

    9c4a459cf7e452036c443051ab5faac4.png

    (2)网站TLS1.0,TLS 1.1支持

    本质上是由于网站配置,不支持TLS 1.0,所以无法访问。那么好了,配置支持即可呀。。

    当初的配置还是从阿里云申请证书时候,按照说明配置的。既然考虑配置有问题,那么使用https://mozilla.github.io/server-side-tls/ssl-config-generator/火狐ssl配置生成工具,试一下配置支持TLS1.0。注意这个页面使用了google上面的js,所以正常访问该网页需要翻一下Great Wall. 打开网页,填入服务器apache/nginx版本,以及openssl版本即可生成:

    00d23dc5dab6dd4e33c73767d4232903.png

    顺便说一下版本查询shell命令:

    55c30f5d2e8e3ff5cf30f617da75164e.png

    ok,具体apache配置不贴,介绍配置方法而不是给固定配置文件,本文到此结束。。。。

    展开全文
  • 网页中链接打开,页面显示如标题所述,原因可能是因为我之前打开了很多内容,后来电脑没电直接关机了,导致出错。 解决方法: 1、按住win+R打开运行,输入inetcpl.cpl,点击确定,打开internet属性。 2、打开在...
  • 蓝点网很久前曾提到过IE浏览器安全设置问题,这个问题很可能会导致全网大多数HTTPS加密网站无法正常连接。当然该问题并不是微软导致,而是国内多数商业银行提供安全控件或者数字证书控件进行所谓优化导致。...
  • 回答这个问题需要对网络安全有深入了解,并且在该领域工作任何人都应该能够做出强有力回应。您应该期待一个后续问题,询问这三个问题中哪个要重点关注。一种简单表达方式:威胁来自针对组织中漏洞(或...
  • Firefox 74 开发人员必读Firefox 74 网站兼容性Firefox 74 最终用户发行说明安全性增强先来了解一下 Firefox 74 版本在安全性上增强。特征策略(Feature Policy)最终版中 Feature Policy(功能策略)默认开启。您现在...
  • 作者:IamHYN前言在上篇文章HTTPS详解一中,我已经为大家介绍了 HTTPS 详细原理和通信...HTTPS 和 HTTP区别显然,HTTPS 相比 HTTP最大不同就是多了一层 SSL (Secure Sockets Layer 安全套接层)或 TLS (Transpo...
  • 和大家分享一下如何全方位来打造一个安全而又高效Web站点。如果你只是非专业人员,那么这篇文章对你来说就更重要了。了解了这些知识后,你也会变成火眼金睛,一眼看穿各种钓鱼网站,不论你遇到是拼夕夕,还是...
  • Solutions Architect for the Specialist IoT team at Amazon Web ServicesErik Wood, Director of the Secure MCU Product Line atCypress, an Infineon Technologies Company本文是物联网安全系列中第二篇。...
  • 访问网页失败—不安全的TLS设置

    千次阅读 2020-05-20 23:39:58
    访问网页失败—不安全的TLS设置 ,怎么解决?
  • 访问某个比较老旧的网站或者内部站点时,提示:无法安全地连接到此页面,这可能是因为该站点使用过期的或不安全的 TLS 安全设置。如果这种情况持续发生,请与网站的所有者联系。TLS 安全设置未设置为默认设置,这也...
  • 在windows 10操作系统中有无法打开一些网站,打开的时候提示:无法安全地连接到此页面 这可能是因为该站点使用国企的或不安全的TLS安全设置。如果这种情况持续发生,请于网站的所有者联系。TLS安全设置未设置为默认...
  • FileZilla链接服务器报错,不安全的服务器,不支持 FTP over TLS 问题:在FileZilla上配置了一个登陆信息准备登陆服务器,用户名密码都么有错误,可是登陆时候超时左上角显示,不安全的服务器,不支持 FTP over TLS...
  • 其中关于:ftp连接虚拟机提示:不安全的服务器,不支持 FTP over TLS,在网上找了解决方案大致是下面这些解决方式(一下方式是单独的,每次操作一次,执行一下,查看效果): 1. 把FTP-文件传输协议改成下面的SFTP;...
  • TLS将提供加密Internet通信,但能完全解决Java的安全问题,因为Java加密通信没有灵丹妙药有关安全问题解释。 TLS版本1.2将在Java开发工具包(JDK)8中启用。正如Java Platform Group博客文章中所介绍...
  • 在MQTT中使用SSL/TLS提高安全

    万次阅读 热门讨论 2016-06-17 10:34:02
    在MQTT中使用SSL/TLS提高安全性当我开始使用MQTT时, 发现比较容易找到使用SSL/TLS验证去加密与代理之间数据相关资料。OwnTracks项目甚至提供了一个设置CA及签名一个脚本, 不过证书是给代理服务器而不是客户端...
  • 传输级别安全性(TLS)1.2将默认设置为3月18日发布标准Java下一版本。TLS将提供加密Internet通信,但能完全解决Java的安全问题,因为Java加密通信没有灵丹妙药有关安全问题解释。 TLS版本1.2将在Java...
  • 安卓 使用BKS实现SSL/TLS安全协议安卓系统BKS证书使用一、 概述二、keytool支持BKS的设置三、cer转换为bks格式1. 格式转换命令2. 导入信任证书库3. 查看bks证书四、java socket使用bks证书核心客户端代码五、...
  • 涉及tls的建议

    2021-01-11 05:23:38
    但是能自定义tls的一些参数,比如信任ca,tls双向认证,证书校验,这些在很多安全要求高领域都是必须。其实给一个tls.Config设置的入口即可。另外HttpClient应该可以自定义设置tr&#...
  • TLS/SSL 证书解读 (三)TLS/SSL 优化TLS/SSL主要性能调优简单包括: 启用 False Start, 选择合适 cipher ...设置 session 缓存session 缓存设置可以让两次 RTT, 变为一次, 这相当于快了一倍(包括密钥计算等). ...
  • 这是一个Windows / Linux / Mac应用程序,可生成包括根CA证书在内自签名SSL / TLS证书。 文件创建 选项#1-1证书: 选项#2-2个证书: 为什么要使用生成证书? 使用该程序只需1分钟,而输入和调整所有命令和...
  • 安卓系统BKS证书使用一、 概述手机默认内置了主流根证书,一般在使用OkHttp时,使用本地根证书进行校验,项目需要内置CA根证书。手机可以在设置停用某个根证书,这时与一些服务器通信,就会报SSL异常。用...
  • 或者就是我们这里的TLS配置 既然涉及到了TLS肯定离开证书 我们就先从证书开始 一. CA证书生成 我们这里的KVM是运行在内网中的CentOS7上的,如果是公网注意这里配置文件会有些许的不同 如果其...
  • 这可能是因为该站点使用过期的或不安全的TLS安全设置。如果这种情况持续发生,请与网站的所有者联系 如图: 问题分析: 使用了win10默认的Edge浏览器,不能打开pgAdmin4 解决方法: 更换默认浏览器为...
  • 今天我们讲两个内容,一个是Domino V11中的TLS加密算法设置,还有一个则是我们春节的放假通知。 一、TLS加密算法配置 TLS即以前也称之为SSL(因存在漏洞,SSL都已废弃),为Internet服务(如HTTP、SMTP等)构建安全...
  • 最近在整理MQTT接入,了解到接入时可以设置SSL/TLS配置;不明所以,遂百度到如下优秀博文。 互联网通信安全,建立在SSL/TLS协议之上。 本文简要介绍SSL/TLS协议运行机制。文章重点是设计思想和运行过程,...
  • rsyslog-tls.zip

    2019-12-01 11:21:56
    本文档描述了一个设置rsyslog TLS的安全方法。一个安全日志环境需要的不仅仅是加密传输通道。本文档提供了一个可能方法来创建这样一个安全系统。

空空如也

空空如也

1 2 3 4 5 ... 7
收藏数 140
精华内容 56
关键字:

不安全的tls安全设置